TACGIB CLUB

云影时空

0%

商用密码应用安全性评估授权签字人应知应会(个人整理仅供参考)

发表于 阅读次数: Valine:

1 相关法律法规

1.1 《中华人民共和国密码法》

  • 2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》,习近平主席签署主席令予以公布,填补了我国密码领域长期存在的法律空白,为新时代密码工作提供了坚强的法律保障。自2020年1月1日起施行。
  • 密码法是密码领域第一部综合性、基础性的法律。密码法共5章44条,重点规范了以下内容:
  • 第一章总则部分明确了立法目的、密码概念、密码工作基本原则、领导管理体制、密码分类管理使用、密码发展促进保障措施等内容。用法律完整的勾勒出了整个密码工作的基本轮廓。
  • 第二章核心密码、普通密码部分,进一步规定了核心密码、普通密码的使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊制度保障,并以法律的形式确立了密码管理部门的行政主体地位,赋予了行政管理职能和责任。
  • 第三章商用密码部分,规定了商用密码标准化制度、强制认证、市场准入和进出口制度以及对商用密码的监管制度。此章对《商用密码管理条例》的相关内容进行了补充、改进和完善,同时对涉及《网络安全法》的内容作出了体系性的衔接。
  • 第四章法律责任部分,规定了违反本法相关规定应承担的法律后果。同一行为可能触犯多部法律或多个法律条文,此章对同时触犯其他法律也作出了衔接性规定。
  • 第五章附则部分,赋予了密码管理部门密码管理规章制定权。这是密码管理部门的行政主体地位的延伸,密码管理部门可根据法律和国务院的行政法规、决定、命令,在本部门的权限内,发布命令、指示和规章。

1.2 《商用密码管理条例》国务院令第760号

  • 1999年10月7日中华人民共和国国务院令第273号发布,发布之日起施行。
  • 2023年4月27日中华人民共和国国务院令第760号修订,自2023年7月1日起施行。
  • 新修订的《商用密码管理条例》 (以下简称 《条例》 ) , 贯彻落实《中华人民共和国密码法》 (以下简称 《密码法》 ) 精神,适应新时代商用密码事业发展需要, 旨在充分发挥商用密码在网络空间安全中的重要作用, 保障我国关键信息基础设施和重要领域网络与数据安全,维护国家安全和社会公共利益。 各行业应在持续提升商用密码应用广度和深度的同时, 大 力学习宣传和严格贯彻落实商用密码应用要求, 并开展商用密码应用安全性评估。

1.3 《商用密码检测机构管理办法》国家密码管理局令第2号

  • 2023年9月26日国家密码管理局令第2号公布,自2023年11月1日起施行。

  • 办法共29条,主要内容包括:

  • 总体要求。一是规定适用范围,包括商用密码产品检测机构和商用密码应用安全性评估机构的资质认定和监督管理。二是明确监管体制,国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。

  • 资质认定条件和程序。一是明确商用密码检测机构资质认定的规范依据。二是规定资质认定的条件要求。三是规定资质认定的程序,包括申请、受理、审查、决定、颁证等环节。四是规定资质变更、延续、注销等相关要求。

  • 从业规范。一是明确了商用密码检测机构及相关从业人员应遵守的行为规范。二是针对检测报告、数据和样品管理、信息报送、检测行为等方面对检测活动提出具体要求。

  • 监督检查及法律责任。一是规定了密码管理部门的监督检查职权及结果处理。二是明确了商用密码检测机构的违法情形及法律责任。三是规定了商用密码检测机构监督管理信息公示和管理人员的责任义务。

  • 其他事项。规定了本办法的施行时间。

1.4 《商用密码应用安全性评估管理办法》国家密码管理局令第3号

  • 2023年9 月26日国家密码管理局令第3号公布,自2023年11月1日起施行。

  • 办法共31条,主要内容包括:

  • 总体要求。一是明确概念定义,商用密码应用安全性评估是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。二是规定管理体制,包括县级以上各级密码管理部门、国家机关和涉及商用密码工作的单位的监督管理职权。三是明确对商用密码应用安全性评估从业机构的资质要求,以及对商用密码应用安全性评估行业发展的保障支持。四是规定了商用密码应用安全性评估的对象范围。

  • 程序及内容要求。一是规定“三同步一评估”的总体要求。二是明确重要网络与信息系统规划、建设、运行各阶段的商用密码应用安全性评估的程序要求。三是针对商用密码应用方案、网络与信息系统两类不同对象,分别提出商用密码应用安全性评估的内容要求。

  • 实施规范。一是规定开展商用密码应用安全性评估的通用行为规范和运营者委托开展评估的支持配合义务。二是规定运营者自行开展商用密码应用安全性评估的基本要求与行为规范。三是规定商用密码应用安全性评估结果备案制度。四是规定运营者开展应急处置的有关内容。

  • 监督检查及法律责任。一是规定了县级以上地方各级密码管理部门、国家机关和涉及商用密码工作的单位的监督检查职权。二是明确了运营者的违法情形及法律责任。三是规定了商用密码应用安全性评估管理人员的责任义务。

  • 其他事项。规定了本办法实施的过渡安排和施行时间。

1.5 专家解读(马原,2023-05-31)

2020年起实施的《中华人民共和国密码法》(以下简称《密码法》)明确规定了商用密码应用安全性评估(以下简称密评)有关要求,新修订的《商用密码管理条例》(以下简称《条例》)进一步细化了相关规定。密评对我国商用密码应用和管理工作具有重要的推动和规范作用,其体系也在不断发展和完善过程中。

1.5.1 商用密码应用安全性评估体系初步建立

2007年,国家密码管理局印发《信息安全等级保护商用密码管理办法》,成为密评工作的肇始和开端。2017年,国家密码管理局印发《关于开展密码应用安全性评估试点工作的通知》,密评工作走上了发展快车道,密评体系建设在法律法规、标准规范、机构培育等方面取得了长足的进展,科学性和规范性不断提升。

(一)体制机制与法规依据逐步成熟规范

  • 《密码法》首次确立了密评工作的法律地位。《密码法》第二十七条对关键信息基础设施使用商用密码和开展密评提出了明确要求,并在第三十七条对违反该要求的行为明确了罚则,这从根本上建立起了密评制度,也是开展密评工作最基本的法律依据。随着《密码法》的贯彻实施,密评工作也得到了越来越多的关注和认可,成为了密码应用推进工作的重要抓手。
  • 新修订的《条例》对密评工作提出了更加具体和细化的要求。在落实《密码法》要求的基础上,《条例》第三十八条进一步明确了关键信息基础设施“三同步”、每年定期评估以及备案管理的具体要求:“……运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评。……,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。”对于与网络安全等级保护制度的衔接,《条例》第四十一条规定:“网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。”这及时回应了社会对于等级保护对象开展密码应用与安全性评估的关切,为等级保护对象开展密评提供了基本遵循。
  • 除了《密码法》和《条例》外,相关部门规章和规范性文件也对密码应用和密评作出了明确规定,包括国务院办公厅印发的《国家政务信息化项目建设管理办法》、公安部印发的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、财政部印发的《政务信息系统政府采购管理暂行办法》等,与上述法律法规一起,共同构成了密评工作的法律依据和制度支撑。

(二)技术体系与标准规范不断健全完善

  • 2018年初,为指导密评试点工作开展,国家密码管理局发布了密码行业标准GM/T-0054《信息系统密码应用基本要求》。2018年以来,基于GM/T-0054开展的密码应用和安全性评估工作,充分验证了密评工作的科学性和可行性。该标准也在2021年上升为国家标准GB/T-39786《信息安全技术信息系统密码应用基本要求》,结合密评工作实践对内容进行了优化,更为科学合理。
  • 为了配合GB/T-39786的实施,更好地指导和规范密评活动,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板》等5项指导性文件,其中前2项已正式发布为密码行业标准GM/T-0115和GM/T-0116。
  • 相比于原有的符合性判定“一票否决”的规则,新的密评标准框架丰富了密评结果的出具过程,提出了“量化评估+风险判定”的综合判定思路。量化评估是为了“保量”,即商用密码应用应当达到一定的程度,便于纵向和横向的比较;风险判定是为了“保质”,即守住信息系统的安全底线。此外,为了规范密评实施和判定活动,中国密码学会密评联委会还组织编制了《商用密码应用安全性评估FAQ》,以问答形式解释了密评过程中常见问题,并确立了定期更新机制,不断应对技术发展和应用情况的变化,以持续保持密评标准体系的活力。

(三)机构规模与能力水平持续壮大提升

  • 密评机构不仅是密评工作实施开展的主体,还是密码应用推进工作的宣传队,因此其专业水平十分重要。2017年底,第一批密评试点机构遵选工作正式开始,经培育考核,确定了首批密评试点机构。2019年底,第二批密评试点机构的遗选正式启动,吸取第一批密评试点机构能力考核的经验,结合密评试点阶段实际密评工作的要求,第二批密评试点机构的能力考核进一步完善,在原有的人员能力笔试考核和机构条件现场考核基础上,将密评报告评估和密评实战能力考核纳入能力考核范围。这其中,实战能力考核是充分克服了新冠疫情的不利影响,积极探索解决密评实战能力如何考核的难题,取得了很好的成效,也获得了参与考核机构的积极反馈。实战能力考核贴近实际,不再是“纸上谈兵”,一方面覆盖了原本理论考试无法涉及的内容,对机构实战能力进行了有效评价,另一方面也对密评工作的开展起到了有效的引导和教育作用,将密评机构原先对算法、产品进行简单核查的僵化思路,逐步转变为充分采集证据、深入分析数据、客观给出结果的科学化、合理化路径。
  • 2020年7月,国家密码管理局公布了第一批24家密评试点机构目录,并于2021年6月进行目录更新,其中可面向全国开展密评业务的机构共48家,另外25家可面向本省本行业开展密评业务,形成了阶梯式的密评机构层次架构。密评试点机构规模不断扩大、能力逐步提升,为密评工作规模化、规范化发展提供了重要支撑。

1.5.2 贯彻落实《条例》,进一步完善密评体系

《条例》关于密评的规定,既是对关键信息基础设施运营者密评主体责任的明确,也对密评体系建设提出了更高要求,指引着密评体系建设不断发展完善。

(一)持续拓展密评工作深度广度,不断增强重要领域密码应用水平

在法律法规层面,可以预见的是,随着《条例》发布,配套的规章制度也会陆续出台,进一步细化对密评机构管理和对密评工作管理等要求。在这些法律法规的具体要求下,密评机构和人员的管理将进一步规范,开展密评的信息系统范围和数量将进一步扩大。下一步,在前期金融、政务等领域开展密码应用和密评工作的良好基础上,要进一步深入扩展到其他重要领域和行业,推动密码应用和密评要求在重要领域和行业落地生根,持续增强密码应用的广度和深度。

(二)持续推进标准文件更新出台,不断为密评体系注入生命力

GB/T-39786针对信息系统提出了通用性的密码应用基本要求,但无法适配于所有类型信息系统和应用场景。近些年,国家密码管理局以密码行业标准形式发布了针对具体应用场景的密码应用技术要求和指南,包括电子保单、网上银行、远程移动支付、电子招投标、区块链等。随着密码应用范围的不断扩大,亟需新一批的指导性文件用于指导具体场景的密码应用建设和安全性评估工作,并适情开展文件的标准化。另外,目前密评体系文件中形成标准的还不多,还需进一步推进已经在制标过程中的《信息系统密码应用方案设计指南》和《信息系统密码应用实施指南》等应用指导类文件加快成熟,以更好指导密码应用与安全性评估工作。

(三)持续加强技术手段建设,不断提升密评机构能力水平

在密评实施过程中,目前的工具和手段还不能较好支撑对专门领域(如5G、工业互联网)中的密码协议和密码应用情况进行有效检查,在对信息系统重要数据的深入自动分析及密码应用漏洞的探测方面也存在较大欠缺。因此,未来需要围绕密评实践过程中的各个技术验证点,进一步加强密评业务开展的技术手段建设。一方面,基于密码产品/服务等相关标准完善现有典型密评工具,同时研制并集成密评新工具,如自动化分析工具、密码应用渗透测试工具,形成可联动、可动态配置、自动化、一体化的密评工具平台;另一方面,加强密码应用典型风险库和应对知识库建设,为密评人员的知识培训、实战考核和能力验证提供基础保障。此外,还需加强密码应用攻防平台建设,整合密码应用风险库以及对应的典型案例库、恶意攻击行为库等知识库,结合一体化密评工具平台,形成涵盖环境仿真、密评人员培训演练、密评机构能力验证为一体的密评核心基础设施,全面提升我国密评工作质量水平和实战能力,切实维护重要网络与信息系统安全。

2 密评技术

2.1 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

2021年3月9日发布,2021年10月1日正式实施。

2.1.1 为什么要有GB/T 39786这个标准(4个需要)

  • 落实密码法及相关政策文件的需要
  • 促进各行业领域信息系统应用密码的需要
  • 增强密码应用规范、正确、有效性的需要
  • 指导商用密码应用安全性评估的需要

2.1.2 为什么有了GM/T 0054-2018还需要本标准?

《中华人民共和国标准化法》,第十一条,对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求,可以制定推荐性国家标准。第十二条,对没有推荐性国家标准、需要再全国某个行业范围内统一的技术要求,可以制定行业标准。

“信息系统密码应用基本要求”从行业标准0054上升为国家标准,是密码领域的一件大事,是《密码法》出台实施之后开展商用密码应用与安全性评估工作的重要里程碑。

2.1.3 GB/T 39786-2021密码标准体系中的位置

  • 管理维:国家标准、行业标准、团体标准、企业标准
  • 技术维:密码基础类、密码设施类、密码产品类、应用支撑类、密码应用类、检测认证类、密码管理类

2.1.4 GB/T 39786-2021是应用标准而不是测评标准

GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》–>GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》

  • 测评过程

过程指导:GM/T 0116-2021《信息系统密码应用测评过程指南》

  • 测评结果

  • 分险判定:《信息系统密码应用高风险判定指引》

  • 量化评估:《信息系统密码应用安全性评估量化评估准则》

  • 符合,综合100分;基本符合,60≤F<100分,且无高风险;不符合,F<60分,或有高风险。

  • 测评报告

结果规范:《商用密码应用安全性评估报告模板》

2.1.5 密码应用基本要求

  • 通用要求
  • 密码算法
  • 密码技术
  • 密码产品
  • 密码服务

2.1.5.1 物理和环境安全(三级)

  • 宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;

  • 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;

  • 宜采用密码技术保证视频监控音像记录数据的存储完整性;

  • 以上如采用密码服务,改密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;

  • 以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。

  • 问题,物理环境的保护对象:只有机房?*

  • “重要区域”不等同于机房,机房外的物理区域也会因安全而限制出入

  • “机房”包括所有机房,均需纳入。

  • 机房不属于责任单位管辖的情况,物理和环境安全层面仍然适用,物理环境密码应用责任由机房运营部门承担。

2.1.5.2 网络和通信安全(三级)

  • 应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性

  • 宜采用密码技术保证通信过程中数据的完整性;

  • 应采用密码技术保证通信过程中重要数据的机密性;

  • 宜采用密码技术保证网络边界访问控制信息的完整性;

  • 可采用密码技术对从外部链接到内部网络的设备进行接入认证,确保接入的设备身份真实性

  • 以上如果采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;

  • 以上采用的密码产品,应达到GB/T 37092二级及以上安全需求。

  • 问题

  • 网络和通信安全层面的常见密码应用方式

  • 在跨安全域通信链路部署IPSec / SSL VPN安全通道。三级系统不要求“双向”安全通道;并非“只能”使用IPSec和SSL(FAQ)

  • “专线”常常不能代替安全通道。通常所谓的运营商专线,会经过各种交换设备和运营商骨干网,还是需要采用密码技术保护网络和通信层面的机密性、完整性。

  • 身份鉴别与接入认证

  • “安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设备的身份鉴别,接入后,该设备将成为信息系统内部网络的一部分;比如智能手持移动终端设备接入信息系统网络的场景,对于移动智能终端设备接入的认证属于“安全接入认证”指标的测评范围,该类终端设备经认证接入信息系统网络后则成为网络内的一部分。

2.1.5.3 设备和计算安全(三级)

  • 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性;

  • 远程管理设备时,应采用密码技术简历安全的信息传输通道;

  • 宜采用密码技术保证系统资源访问控制信息的完整性;

  • 宜采用密码技术保证设备中的重要信息资源安全标记的完整性;

  • 宜采用密码技术保证日志记录的完整性;

  • 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证;

  • 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格;

  • 以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。

  • 问题1:设备和计算安全层面的常见密码应用方式

  • 部署支持商用密码的堡垒机,实现设备统一管理。管理员登录堡垒机采用基于商用密码的身份鉴别产品和技术,如使用智能密码钥匙与堡垒机之间做基于数字签名的“挑战-响应”鉴别;还可以基于堡垒机做日志统一管理,统一采取完整性保护措施。

  • 需要注意堡垒机SSH协议的版本和算法套件。SSH协议的版本和算法条件决定了“远程管理通道”指标是否合规,要注意规避高风险项,如:SSH v1.0,完整性算法中出现的MD5、SH1等。

  • 堡垒机前的身份鉴别与后的身份鉴别。管理员用户通过堡垒机的身份鉴别;堡垒机链接被管理设备,登录该设备的身份鉴别。

问题2:“重要可执行程序”的完整性和真实性

  • 操作系统自带的代码签名和验证机制。
  • 运行环境(如VMM)支持的对程序安装、启动的控制。
  • 应用程序安装/启动时自测自验代码签名。
  • 安装前人工验证代码签名。
  • 基于可信计算的静态、动态测量。

2.1.5.4 应用和数据安全(三级)

  • 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性;
  • 宜采用密码技术保证信息系统应用的访问控制信息的完整性
  • 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性;
  • 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性;
  • 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性;
  • 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性;
  • 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性;
  • 在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发性胃的不可否认性和数据接受行为的不可否认性
  • 以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接收检测认证的,应经商用密码认证机构认证合格;
  • 以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。

问题1:应用和数据安全层面的常见密码应用方式

  • 对“重要数据”的界定是必须要做的。

  • 对系统传输、存储、处理的业务数据做分级分类,厘清“重要数据”。一般可采用风险分析的方法来界定。

  • 如果已经进行了等保定级和测评,那么是重要数据界定的有力依据。

  • 可以采用数字信封保障重要数据传输机密性。

  • 网络与通信层机密性完整性机制保障了通道安全,但不涵盖重要数据落地后的安全。对于重要数据的应用层保护,采用数字信封进行机密性保护是常见做法。

  • 可以采用时间戳和数字签名保障不可否认性

  • 对于不可否认性的保护,单纯使用签名是不够的,还需要结合时间戳,确保“实体不能否认在指定时刻执行了某个动作”

    问题2:网络通信层与应用数据层的数据保护:信道与信源的关系

  • VPN卸载后的明文数据,如果仍有多个可能的接受者,且要求只有指定的接受者才可见,那么有必要要在应用层执行对传输数据的端到端密码保护(信源加密)

  • 应用层数据

  • 传输层安全通信协议,如TLS

  • 网络层安全通信协议,如IPsec

  • 链路层

  • 物理层

问题2:四层身份鉴别:各层面上的鉴别对象不同,不能相互替代

  • 物理环境,进出重要区域的人(如机房管理员),防范非法人员进入
  • 网络通信,建立安全通信信道的节点设备(IPSec、VPN网关等),防范网络设备被替换、假冒
  • 设备计算,设备的管理员(如设备的审计员、管理员、操作员),防范非法人员控制设备
  • 应用数据,信息系统的用户/管理员(如微信用户、钉钉用户),防范业务用户身份的假冒

2.1.5.5 管理制度(三级)

  • 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度;
  • 应根据密码应用方案建立相应密钥管理规则;
  • 应对管理人员或操作人员执行的日常管理操作建立操作规程;
  • 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进支出进行修订;
  • 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制;
  • 应具有密码应用操作规程的相关执行记录并妥善保存。

2.1.5.6 人员管理(三级)

  • 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度;
  • 应建立密码应用岗位责任制度,明确各岗位再安全系统中的职责和权限:
  • 根据密码应用的实际情况,设置秘钥管理员、密码审计员、买吗操作员等关键岗位;
  • 对关键岗位建立多人共管机制;
  • 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员兼任;
  • 相关设备与系统的管理和使用账号不得多人共用。
  • 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能;
  • 应定期对密码应用安全岗位人员进行考核;
  • 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。

2.1.5.7 建设运行(三级)

  • 应依据密码相关标准和密码应用需求,制定密码应用方案;
  • 应根据密码应用方案,确定系统涉及的密切种类、体系及其生命周期环节,各环节安全管理需求参照附录B;
  • 应按照应用方案,制定实施方案;
  • 投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行;
  • 在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。

2.1.5.8 应急处置(三级)

  • 应制定密码应用应急处置方案,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置方案,结合实际情况及时处置;
  • 事件发生后,应及时向信息系统主管部门进行报告;
  • 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。

2.2 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》

2023年9月7日发布,2024年4月1日实施。

2.2.1 标准编制思路

1)编制目的

信息系统商用密码应用安全性评估工作的基础标准和测评依据,指导、规范信息系统密码应用安全性评估工作中的测评活动。

2)技术部分单元测评

  • 符合:密码技术/算法合规且被正确、有效使用;密钥管理、密码产品、密码服务安全,则为符合。

  • 部分符合:

  • 密码使用有效、使用的密码算法/技术符合相关法律、法规及标准要求,但是相关的密钥管理机制存在问题,则为部分符合;

  • 密码使用有效,具备安全的密钥管理机制,但使用的密码算法/技术不符合相关法律、法规及标准要求,则为部分符合;

  • 密码是用有效,但使用的密码算法/技术不符合相关法律、法规及标准要求,相关的密钥管理机制也存在问题,则为部分符合。

  • 不符合:未使用密码技术,或由于为正确、有效使用密码技术导致无法满足信息安全需求,则为不符合。

一个测评单元,可能涉及多个测评对象,需要对所有测评对象的测评结果进行汇总,综合判定:如果判定结果均为符合,则本单元的测评结果为符合;如果判定结果为不符合,则本单元的测评结果为不符合;否则,本单元的测评结果为部分符合。

3)整体测评

从单元间、层面间等方面进行测评和综合安全分析

  • 单元间测评:对同一技术层面或管理方面内的两个或者两个以上不同测评单元间的关联进行测评分析。
  • 层面间测评:对不同技术层面或管理方面之间的两个或者两个以上不同测评单元间的关联进行测评分析。

4)测评结论

基于整体测评结果和分险分析结果综合得出

  • 符合:信息系统所有单元测评结果不存在不符合项和部分符合项;
  • 基本符合:信息系统单元测评结果中存在不符合项和部分符合项,与测评指标存在一定差距,但存在的不符合项和部分符合项未导致信息系统高安全风险;
  • 不符合:信息系统单元测评结果中存在不符合项和部分符合项,与测评指标存在较大差距,或存在的不符合项和部分符合项导致信息系统高安全风险。

简而言之:

符合,综合100分;基本符合,60≤F<100分,且无高风险;不符合,F<60分,或有高风险。

2.2.2 标准框架内容

1)“可”、“宜”、“应”

密评人员在开展实际测评时,对于GB/T 39786-2021中的不同安全防护等级的“可”、“宜”、“应”的条款,按照如下方法确定是否将其纳入测评范围

  • “可”的判定

对于“可”的条款,由信息系统责任方自行决定是否纳入测评和结果判定范围:

  • 若信息系统责任方确认纳入测评和结果判定范围,且密评人员经核实后判定信息系统不存在与测评指标相关的密码应用要求,则相应测评指标为“不适用”。

  • 若信息系统责任方确认纳入测评和结果判定范围,且密评人员经核实后判定信息系统存在与测评指标相关的密码应用需求,则密评人员应按照第6章和第7章节相应的测评指标要求进行测评和结果判定。

  • “宜”的判定

对于“宜”的条款,密评人员应确认信息系统是否具有已通过评估的密码应用方案:

  • 若信息系统没有通过评估的密码应用方案,或方案评估意见中未对“不适用”项作出明确说明,则“宜”的条款纳入测评和结果判定范围。

  • 若信息系统有已通过评估的密码应用方案,且方案评估意见中对“宜”条款作出了明确说明,则应根据密码应用方案和方案评估意见决定是否纳入测评和结果判定范围:

  • 若纳入测评和结果范围,则密评人员应按照第6章和第7章相应的测评指标要求进行测评和结果判定。

  • 若未纳入测评和结果判定范围,且判定信息系统确实不存在与测评指标相关的密码应用要求时,则相应测评指标为“不适用”。

  • 若未纳入测评和结果判定范围,但信息系统有与测评指标相关的密码应用要求,应根据密码应用方案和方案评估意见进一步核实该信息系统是否满足密码应用方案描述的风险控制措施使用条件,且信息系统的实施情况与所描述的风险控制措施是否一致。如满足使用条件且风险控制措施一致,该测评指标为“不适用”,如不满足使用条件或风险控制措施不一致,密评人员应该按照第6章和第7章中相应的测评指标要求进行测评和结果判定。

  • “应”的判定

对于“应”的条款:

  • 密评人员应按照第6章和第7章相应的测评指标要求进行测评和结果判定。
  • 若根据信息系统的密码应用方案和方案评估意见,判定信息系统确实不存在与测评指标相关的密码应用需求,则相应的测评指标为“不适用”;否则,相关条款纳入测评和结果判定范围。

如果信息系统通过评估的密码应用方案要求高于其自身对应等级的测评指标要求,则密评人员应按照密码应用方案要求进行测评。

2)主要内容

  • 概述

主要包含四个层面的内容:

  • 描述本标准框架组成;

  • 描述测评单元的构成;

  • 描述本标准使用过程中的一些要求(如:《基本要求》中“应”、“宜”、“可”要求再具体测评实施过程中的处理方式)。

  • 描述如何得出最终密码应用安全性评估的测评结论。

  • 通用测评要求

  • 对密码算法、密码技术、密码产品、密码服务、密钥管理等方面提出测评要求。

  • 技术/管理测评要求

  • 参照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等8个方面分别从测评指标、测评对象、测评实施、结果判定4个方面提出每个测评单元的测评内容,并给出单元测评结果的判定规则。

  • 整体测评要求

  • 描述了单元间、层面间测评方法。经综合分析后,对测评单元的测评结果进行调整。

  • 风险分析和评价

  • 描述了单元测评结果中存在的不符合项和部分符合项被威胁利用后,对信息系统安全的影响程度分析。

  • 附录A\B\C

附录给出了一些参考测试方法,大家应结合实际情况灵活运用。

  • 附录A给出了密钥生存周期管理检查要点;
  • 附录B给出了典型密码功能(如传输/存储机密性、传输/存储完整性、真实性等)测评技术;
  • 附录C给出了典型密码产品(如智能密码钥匙、密码机、VPN产品等)应用测评技术。

2.2.3 标准条款解读

条款5.1:密码算法

  • 测评指标:信息系统中使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。(适用于第一级到第四级)
  • 测评要点:

合规性两种情况:第一种,密码算法是经商用密码检测认证通过的密码产品提供;第二种,经国密局认可用在特定行业的专用算法(对符合这两种情况的算法实现方式不需要评估,只需要核查认证证书或同意使用证明文件即可)。

对不符合上述情况的密码算法,需要对其实现方式进行核查。

条款5.3:密码产品

  • 测评指标:信息系统中使用的密码产品符合法律法规和密码相关国家标准、行业标准的相关要求(适用于第一级到第四级)。

若采用的密码产品遵循密码模块相关标准,则应:

达到密码模块安全等级一级及以上安全要求(适用于第二级);

达到密码模块安全等级二级及以上安全要求(适用于第三极);

达到密码模块安全等级三级及以上安全要求(适用于第四级)。

  • 测评要点:

信息系统中使用的密码产品/密码模块获得商用密码认证证书(参见:service.scctc.org.cn

注:密码模块类产品检测认证时遵循的标准是GM/T 0028、GM/T 0039,在商用密码认证证书不体现GB/T 37092

2.3 GM/T 0116-2021《信息系统密码应用测评过程指南》

2021年10月19日发布,2022年5月1日实施。

2.4 《信息系统密码应用高风险判定指引》

中国密码学会密评联委会,2021年12月。

2.5 《商用密码应用安全性评估量化评估规则》(2023版)

2023年7月17日发布,2023年8月1日实施。

2.6 《商用密码应用安全性评估》FAQ(第三版)

中国密码学会密评联委会,2021年12月发布,2023年10月更新。

2.7 仿真实验环境基本情况

2.7.1 在物理和环境安全方面

被测系统部署在盛通三楼机房,机房位置在广州市越秀区天河路34号。

1)身份鉴别

盛通三楼机房采用门禁卡的方式实现机房访问人员的身份鉴别,门禁卡类型为 CPU卡,使用 SM4 算法进行密钥分发,并基于SM4算法对机房访问人员进行身份鉴别。相关密码运算和密钥管理由商用密码认证机构认证合格的安全门禁系统、读卡模块和智能IC 卡实现。

2)电子门禁记录数据存储完整性

盛通三楼机房的电子门禁记录采用基于密码杂凑算法的消息鉴别码机制保证电子门禁记录数据存储完整性,消息鉴别码生成和验证过程采用了 SM3密码算法。相关密码运算和密钥管理由商用密码认证机构认证合格的安全门禁系统、PCI-E密码卡实现。

3)视频监控记录数据存储完整性

盛通三楼机房的视频监控记录采用基于密码杂凑算法的消息鉴别码机制保证视频监控记录数据存储完整性,消息鉴别码生成和验证过程采用了SM3 密码算法。相关密码运算和密钥管理由商用密码认证机构认证合格的安全音视频监控系统和PCI-E密码卡实现。

测评结果:符合项3项,部分符合项0项,不符合项0项,不适用项0项。

2.7.2 在网络和通信安全方面

被测系统存在以下通信信道:

VPN客户端与运维SSLVPN网关之间的通信信道:运维人员在互联网使用VPN客户端登录运维SSLVPN后,对应用系统设备进行运维管理。

互联网非国密浏览器与应用网关之间的通信信道:应用用户在互联网使用非国密浏览器经应用网关访问应用系统。

互联网国密浏览器与应用网关之间的通信信道:应用用户在互联网使用国密浏览器经应用网关访问应用系统。

1)身份鉴别

VPN客户端与运维SSLVPN网关之间的通信信道,采用基于公钥密码算法的数字签名机制对通信实体进行双向身份鉴别,在对客户端鉴别时使用运维人员所持智能密码钥匙进行实现。客户端和服务端的证书签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的验证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的运维SSLVPN网关和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

互联网非国密浏览器与应用网关之间的通信信道,采用基于公钥密码算法的数字签名机制对通信实体进行身份鉴别。数字证书的签名算法为:sha256RSA;公钥算法为:RSA(2048bits)算法;通过对证书的验证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关实现。

互联网国密浏览器与应用网关之间的通信信道,采用基于公钥密码算法的数字签名机制对通信实体进行身份鉴别。加密证书、签名证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的验证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关实现。

2)通信数据完整性

VPN客户端与运维SSLVPN网关之间的通信信道,采用基于密码杂凑算法的消息鉴别码机制保证通信过程中数据的完整性。通信协议分析工具显示使用的密码协议为TLCP,通信链路所使用的密码算法套件为ECC_SM4_CBC_SM3,即采用SM3密码算法生成消息鉴别码进行完整性校验。相关密码运算和密钥管理由商用密码认证机构认证合格的运维SSLVPN网关实现。

互联网非国密浏览器与应用网关之间的通信信道,采用基于密码杂凑算法的消息鉴别码机制保证通信过程中数据的完整性。通信协议分析工具显示使用的密码协议为TLSv1.2,通信链路所使用的密码算法套件为TLS_RSA_WITH_AES_256_GCM_SHA384,即采用SHA384密码算法生成消息鉴别码进行完整性校验。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关和未由商用密码认证机构认证合格的非国密浏览器实现。

互联网国密浏览器与应用网关之间的通信信道,采用基于密码杂凑算法的消息鉴别码机制保证通信过程中数据的完整性。通信协议分析工具显示使用的密码协议为TLCP,通信链路所使用的密码算法套件为ECC_SM4_CBC_SM3,即采用SM3密码算法生成消息鉴别码进行完整性校验。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关和国密浏览器实现。

3)通信过程中重要数据的机密性

VPN客户端与运维SSLVPN网关之间的通信信道,采用密码技术的加解密机制保证通信过程中重要数据的机密性。通信协议分析工具显示使用的密码协议为TLCP,通信链路所使用的密码算法套件为ECC_SM4_CBC_SM3,即采用CBC模式的SM4密码算法进行加解密运算。相关密码运算和密钥管理由商用密码认证机构认证合格的运维SSLVPN网关实现。

互联网非国密浏览器与应用网关之间的通信信道,采用密码技术的加解密机制保证通信过程中重要数据的机密性。通信协议分析工具显示使用的密码协议为TLSv1.2,通信链路所使用的密码算法套件为TLS_RSA_WITH_AES_256_GCM_SHA384,即采用GCM模式的AES密码算法进行加解密运算。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关和未由商用密码认证机构认证合格的非国密浏览器实现。

互联网国密浏览器与应用网关之间的通信信道,采用密码技术的加解密机制保证通信过程中重要数据的机密性。通信协议分析工具显示使用的密码协议为TLCP,通信链路所使用的密码算法套件为ECC_SM4_CBC_SM3,即采用CBC模式的SM4密码算法进行加解密运算。相关密码运算和密钥管理由商用密码认证机构认证合格的应用网关和国密浏览器实现。

4)网络边界访问控制信息的完整性

VPN客户端与运维SSLVPN网关之间的通信信道,运维SSLVPN网关的访问控制信息由密码产品本身的安全机制进行防护,但出口防火墙未采用密码技术保证访问控制信息的完整性。

互联网非国密浏览器与应用网关之间的通信信道、互联网国密浏览器与应用网关之间的通信信道,应用网关的访问控制信息由密码产品本身的安全机制进行防护,但出口防火墙未采用密码技术保证访问控制信息的完整性。

5)安全接入认证

被测系统责任单位决定不将此指标纳入标准符合性测评范围。

测评结果:符合项0项,部分符合项3项,不符合项1项,不适用项1项。

2.7.3 在设备和计算安全方面

测评对象主要包括:密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器、证书认证系统、堡垒机、应用服务器、Mysql数据库;其中,证书认证系统、应用服务器、Mysql数据库限制仅能通过堡垒机连接,堡垒机通过运维SSLVPN保护运维通信信道(堡垒机仅对运维VPN地址开放远程管理端口),VPN客户端与运维SSLVPN网关之间的通信信道采用基于公钥密码算法的数字签名机制进行通信实体双向身份鉴别,并且在对客户端鉴别时使用运维人员所持智能密码钥匙进行实现。

1)身份鉴别

密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器,采用基于公钥密码算法的数字签名机制对登录设备的用户进行身份鉴别,身份鉴别采用挑战应答的方式实现。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的验证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

证书认证系统、堡垒机、应用服务器、Mysql数据库使用用户名和静态口令对登录设备的用户进行身份鉴别,未使用密码技术保证用户身份的真实性。

2)远程管理通道安全

运维人员远程管理密码应用一体化系统、运维SSLVPN网关、应用网关时,使用了TLSv1.2协议,使用的密码算法套件为TLS _ECDHE_RSA_WITH_AES_128_GCM_SHA256,即采用GCM模式的AES密码算法进行加解密运算,采用SHA256密码算法生成消息鉴别码进行完整性校验;相关密码运算和密钥管理由商用密码认证机构认证合格的密码应用一体化系统、运维SSLVPN网关、应用网关和未由商用密码认证机构认证合格的非国密浏览器实现。

运维人员远程管理签名验签服务器时使用了TLSv1.3协议,密码算法配置为TLS _AES_128_GCM_SHA256,即采用GCM模式的AES密码算法进行加解密运算,采用SHA256密码算法生成消息鉴别码进行完整性校验;相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和未由商用密码认证机构认证合格的非国密浏览器实现。

运维人员远程管理堡垒机时,使用了TLSv1.2协议,使用的密码算法套件为TLS _ECDHE_RSA_WITH_AES_128_GCM_SHA256,即采用GCM模式的AES密码算法进行加解密运算,采用SHA256密码算法生成消息鉴别码进行完整性校验;相关密码运算和密钥管理未由经商用密码认证机构认证的设备实现。

运维人员通过运维SSLVPN登录堡垒机远程管理证书认证系统,远程管理证书认证系统时使用HTTP协议,未采用密码技术建立安全的信息传输通道。

运维人员通过运维SSLVPN登录堡垒机远程管理应用服务器、Mysql数据库,远程管理应用服务器时使用了SSHv2.0协议,使用的密码算法为chacha20-poly1305、SHA256,即采用chacha20-poly1305密码算法进行加解密运算,采用SHA256密码算法生成消息鉴别码进行完整性校验;相关密码运算和密钥管理未由经商用密码认证机构认证的设备实现。

3)系统资源访问控制信息完整性

系统资源访问控制信息由密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器内部的完整性保护机制进行保护,相关密码运算和密钥管理由商用密码认证机构认证合格的密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器实现。

未使用密码技术对证书认证系统、堡垒机、应用服务器、Mysql数据库的系统资源访问控制信息进行完整性保护。

4)重要信息资源安全标记完整性

密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器、证书认证系统、堡垒机、应用服务器、Mysql数据库不涉及重要信息资源安全标记,无重要信息资源安全标记完整性保护需求。

5)日志记录完整性

采用密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器内部的完整性保护机制保证日志记录的完整性,相关密码运算和密钥管理由商用密码认证机构认证合格的密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器实现。

未采用密码技术保证证书认证系统、堡垒机、应用服务器、Mysql数据库日志记录的完整性。

6)重要可执行程序完整性、重要可执行程序来源真实性

密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器利用设备内部的完整性和真实性保护机制保证重要可执行程序完整性、重要可执行程序来源真实性,相关密码运算和密钥管理由商用密码认证机构认证合格的密码应用一体化系统、运维SSLVPN网关、应用网关、签名验签服务器实现。

证书认证系统、堡垒机、应用服务器、Mysql数据库重要可执行程序在生成和使用过程中未采用密码技术对重要可执行程序进行完整性保护,未对其来源进行真实性验证。

测评结果:符合项0项,部分符合项5项,不符合项0项,不适用项1项。

2.7.4 在应用和数据安全方面

测评对象为盛通仿真OA办公系统,系统用户分为系统管理员和普通用户,重要数据包括鉴别数据、个人敏感信息、业务数据和日志数据。其中,鉴别数据、个人敏感信息、业务数据有传输机密性、存储机密性、传输完整性、存储完整性保护需求;日志数据有存储完整性保护需求;业务系统具有发文行为的不可否认性需求。

1)身份鉴别

应用系统采用基于公钥密码算法的数字签名机制对登录的系统管理员、普通用户进行身份鉴别,系统管理员、普通用户使用账号口令+UKEY登录应用系统,身份鉴别过程采用挑战应答的方式实现。应用系统通过调用签名验签服务器实现验签。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的验证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

2)访问控制信息完整性

应用系统采用基于用户的访问控制机制,访问控制信息存储在数据库中,未使用密码技术对应用系统的访问控制信息进行完整性保护。

3)重要信息资源安全标记完整性

应用系统不涉及重要信息资源安全标记,无重要信息资源安全标记完整性保护需求。

4)重要数据传输机密性

应用系统通过前端代码使用SM3算法对鉴别数据进行摘要运算后发送给应用系统,应用系统通过比对摘要值进行认证;未正确、有效使用密码技术,无法满足传输机密性保护需求。

办公用户访问应用系统时,个人敏感信息传输时为明文。

应用系统通过调用智能密码钥匙,使用发文人签名私钥对业务数据进行签名,使用收文人加密公钥制作数字信封;应用系统调用签名验签服务器使用收文人加密私钥解密数字信封,使用发文人签名公钥进行验签。数字信封使用了SM2、SM3、SM4算法;数字信封存储在数据库中。数字信封使用了基于密码技术的加解密机制,业务数据以密文形式传输,可保证数据传输机密性。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的认证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

5)重要数据存储机密性

应用系统通过调用签名验签服务器,采用密码技术的加解密机制实现鉴别数据存储机密性保护,应用系统通过前端代码使用SM3算法对鉴别数据进行摘要运算后发送给应用系统,应用系统调用签名验签服务器,使用SM4算法对摘要值进行加密后存储在数据库中,密文数据长度符合SM4算法分组长度要求。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器实现。

应用系统通过调用签名验签服务器,采用密码技术的加解密机制实现个人敏感信息存储机密性保护,加解密运算采用了SM4密码算法,密文存储在数据库中,密文数据长度符合SM4算法分组长度要求。应用系统通过调用签名验签服务器实现加解密。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器实现。

应用系统通过调用智能密码钥匙,使用发文人签名私钥对业务数据进行签名,使用收文人加密公钥制作数字信封;应用系统调用签名验签服务器使用收文人加密私钥解密数字信封,使用发文人签名公钥进行验签。数字信封使用了SM2、SM3、SM4算法;数字信封存储在数据库中。数字信封使用了基于密码技术的加解密机制,业务数据以密文形式存储,可保证数据存储机密性。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的认证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

6)重要数据传输完整性

应用系统通过前端代码使用SM3算法对鉴别数据进行摘要运算后发送给应用系统,但没有完整性保护措施,未使用密码技术保证鉴别信息的传输完整性。

办公用户访问应用系统时,个人敏感信息传输时为明文。

应用系统通过调用智能密码钥匙,使用发文人签名私钥对业务数据进行签名,使用收文人加密公钥制作数字信封;应用系统调用签名验签服务器使用收文人加密私钥解密数字信封,使用发文人签名公钥进行验签。数字信封使用了SM2、SM3、SM4算法;数字信封存储在数据库中。数字信封使用了数字签名机制,可保证数据存储完整性。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的认证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

7)重要数据存储完整性

应用系统通过前端代码使用SM3算法对鉴别数据进行摘要运算后发送给应用系统,应用系统调用签名验签服务器,使用SM4算法对摘要值进行加密后存储在数据库中,密文数据长度符合SM4算法分组长度要求。但没有完整性保护措施,未使用密码技术保证鉴别数据的存储完整性。

应用系统通过调用签名验签服务器,对个人敏感信息进行加解密,加解密运算采用了SM4密码算法,密文存储在数据库中,密文数据长度符合SM4算法分组长度要求。但没有相关的完整性保护字段,未使用密码技术保证个人敏感信息的存储完整性。

应用系统通过调用智能密码钥匙,使用发文人签名私钥对业务数据进行签名,使用收文人加密公钥制作数字信封;应用系统调用签名验签服务器使用收文人加密私钥解密数字信封,使用发文人签名公钥进行验签。数字信封使用了SM2、SM3、SM4算法;数字信封存储在数据库中,通过篡改数字信封验证存储完整性。数字信封使用了数字签名机制,可保证数据存储完整性。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的认证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

8)不可否认性

应用系统通过调用智能密码钥匙,使用发文人签名私钥对业务数据进行签名,使用收文人加密公钥制作数字信封;应用系统调用签名验签服务器使用收文人加密私钥解密数字信封,使用发文人签名公钥进行验签。数字信封使用了SM2、SM3、SM4算法。数字信封使用了数字签名机制,可保证用户发文行为的不可否认性。用户证书的签名算法为:SM3withSM2;公钥算法为:SM2算法;通过对证书的认证,证书签名有效,证书用法正确,并且证书在有效期内。相关密码运算和密钥管理由商用密码认证机构认证合格的签名验签服务器和智能密码钥匙实现。但智能密码钥匙商用密码产品认证证书上未标明密码模块等级,按“密码产品一级密码模块”进行判定。

测评结果:符合项0项,部分符合项6项,不符合项1项,不适用项1项。

2.7.5 在管理制度方面

1)具备密码应用安全管理制度

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》《盛通仿真OA办公系统密钥管理制度及策略》《盛通仿真OA办公系统密码安全应急预案》等制度,内容涉及密钥管理、人员管理、建设运行、应急处置、密码软硬件及介质管理等方面。

2)密钥管理规则

被测系统责任单位依据通过评估的密码应用方案制定了《盛通仿真OA办公系统密码应用及安全管理制度》第七章内容以及《盛通仿真OA办公系统密钥管理制度及策略》,对密钥管理相关内容进行了规定。

3)建立操作规程

被测系统责任单位具有《密码安全操作规范》以及相关密码设备的操作手册,对管理人员或操作人员的日常管理操作进行了规范。

4)定期修订安全管理制度

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,其中第十二章中规定,定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足之处或需要改进之处进行修订,并留存相关记录。

5)明确管理制度发布流程

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,其中第十二章中明确了制度发布的具体流程,规定由信息化测评中心起草、发布,由信息化测评中心进行制度版本控制。

6)制度执行过程记录留存

被测系统责任单位制定了《省盛通仿真OA办公系统密码应用及安全管理制度》,其中第十二章中明确密码应用工作组应安排专人妥善保存密码应用操作规程的相关执行记录,具有《运维工作记录表》《制度修订记录表》《应急处置记录表》等记录表格。

测评结果:符合项6项,部分符合项0项,不符合项0项,不适用项0项。

2.7.6 在人员管理方面

1)了解并遵守密码相关法律法规和密码管理制度

相关人员基本了解《中华人民共和国密码法》《商用密码管理条例》以及 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等密码相关法律法规、规章制度以及规范性文件,并遵守密码相关法律法规和密码应用安全管理制度。

2)建立密码应用岗位责任制度

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,第四章规定成立密码应用领导工作组和密码应用运维组,其中密码应用运维工作组由系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等组成并明确了各岗位的职责。规定密钥管理员、密码安全审计员、密码操作员不能由同一人兼任,密码安全审计员不可与密钥管理员、密码操作员兼任;相关设备与系统的管理和使用账号不得多人共用。

3)建立上岗人员培训制度

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,第四章中对人员培训进行了相关规定,规定培训内容包括密码相关管理制 度、各种密码设备的操作方法以及相关工作流程规范等内容,具有《培训记录表》等培训相关的记录表格及文档。

4)定期进行安全岗位人员考核

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,第四章中对人员考核及相关惩戒措施提出了要求;考核对象:系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等;考核内容应包括:安全意识、密码操作管理技能及相关法律法规知识的掌握情况等;考核不合格的工作人员,应及时调离岗位;考核结果可纳入工作人员年度绩效考核内容。

5)建立关键岗位人员保密制度和调离制度

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》。第四章中对关键岗位调岗和离岗进行了规定,人员离岗时,应及时撤销离 岗人员的所有密码应用相关的访问权限、操作权限,并与关键人 员应签订保密合同,承担保密义务,保密承诺内容包含保密范围、保密责任、违约责任、有效期限以及签字等。

测评结果:符合项5项,部分符合项0项,不符合项0项,不适用项0项。

2.7.7 在建设运行方面

1)制定密码应用方案

被测系统责任单位编制了盛通仿真OA办公系统密码应用方案,且在 2024年01月19日通过评估。

2)制定密钥安全管理策略

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》《盛通仿真OA办公系统密钥管理制度及策略》,对密钥管理进行了相关规定。责任单位根据评审通过的密码应用方案对系统涉及的密钥进行密钥管理。

3)制定实施方案

责任单位编制了盛通仿真OA办公系统密码应用方案,在系统建设阶段按照应用方案实施建设。

4)投入运行前进行密码应用安全性评估

被测系统处于试运行阶段,且本次为首次评估,投入运行前进行商用密码应用安全性评估。

5)定期开展密码应用安全性评估及攻防对抗演习

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》,第三章对攻防演练进行了相关规定,要求定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改,本次测评为被测 系统首次开展密码应用安全性评估,暂未具备相关的攻防演习及整改记录。

测评结果:符合项5项,部分符合项0项,不符合项0项,不适用项0项。

2.7.8 在应急处置方面

1)应急策略

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》《盛通仿真OA办公系统密码安全应急预案》,对应急处置进行了相关规定,根据密码应用安全事件等级制定了相应的密码应用应急策略,并明确了密码应用安全事件发生时的应急处理流程及其他管理措施,通过《应急处置记录》对应急处置过程进行记录;目前暂未发生相关应急事件。

2)事件处置

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》《盛通仿真OA办公系统密码安全应急预案》,对事件处置进行了相关规定,明确应用安全事件发生后,及时向信息系统主管部门进行报告。

3)向有关主管部门上报处置情况

被测系统责任单位制定了《盛通仿真OA办公系统密码应用及安全管理制度》《盛通仿真OA办公系统密码安全应急预案》,对事件处置进行了相关规定,明确应用安全事件发生后,及时向信息系统主管部门进行报告。

测评结果:符合项3项,部分符合项0项,不符合项0项,不适用项0项。

通过对盛通仿真OA办公系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的测评,该系统基本符合GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》的第三级别要求。

3 授权签字人考核常见问题

3.1 什么是授权签字人?

授权签字人,又称“获准签字人”。是经机构管理层授权,并经过评审组织考核合格并批准,可以在授权签字领域签发(批准)检验检测报告,并对所签发的检验报告签字负有法律责任的主要技术人员。

3.2 授权签字人的职责与权限有哪些?

授权签字人是由本公司推荐并经过外部认证认可、资质认定机构考核合格后,在其授权的能力范围内经公司授权签发检验检测报告的人员。其职责是:

  • 签发被授权范围内的检验检测报告,并保留相关记录;
  • 审核所签发报告使用标准的有效性,保证按照检验检测标准开展相关的检验检测活动;
  • 对检验检测数据和结果的真实性、客观性、准确性、可追溯性负责;
  • 对所签发的检验检测报告具有最终的技术审查职责,对不符合要求的结果和报告具有否决权。

3.3 授权签字人的能力要求有哪些?

  • 熟悉本公司检验检测业务。
  • 熟悉相关法律法规,熟悉检验检测标准与检验检测工作程序,掌握授权签字范围的专业知识,应当系统掌握商用密码管理政策和专业知识,具备密码或者网络安全领域高级技术职称或者同等专业水平
  • 接受过认可相关的培训,熟悉认证认可相关要求。
  • 熟悉本公司的质量手册、程序文件、作业指导书。
  • 熟悉管理体系的知识和本公司质量管理体系文件。
  • 具备对检验检测结果进行科学的分析与评价。
  • 应掌握国家政策,理解和掌握相关技术标准。
  • 具有组织管理体系有效运行和持续改进的能力。

3.4 公司愿景、质量方针、质量目标

3.3.1 公司愿景

……

3.3.2 质量方针

……

3.3.3 质量目标

……

3.5 内审和管审分别指什么?

3.5.1 内部审核

质量负责人按照管理体系文件规定,组织对试验室管理体系的各个环节组织开展的有计划的、系统的、独立的检查活动。即对管理体系运行的符合性自我评价。其目的是促进管理体系规范有序的运作,以达到预期的目的和要求。

7月完成对信息化测评中心内部审核。

3.5.2 管理评审

最高管理者对管理体系的整体有效性以及对实验室的适用性, 组织进行的综合评价活动。是实验室发现管理体系存在问题并借机进行改进的主要依据。

其目的是为了衡量管理体系是否符合自身实际状况,评价管理体系对自身管理工作是否真实有效,是否能够保证方针和目标的实现,确保管理体系持续适用和有效,并进行管理体系的不断改进。

2023年度的管理评审于2024年1月20日完成。

3.6 体系文件分别有哪几层?

……

3.7 报告审核与签发

3.7.1 报告审核的原则

  • 报告审核按先大后小、先外观后内容、先文字后数据、先结论后论据、先主后附的原则进行;
  • 报告审核要从委托单开始,逐步推进,将所涉及到的资料全部核查,不能缺漏;
  • 审核报告中所涉及到的数据是否可溯源,所涉及到的指标是否有依据,所涉及到的依据是否现行有效。

3.7.2 报告审核中关注点有哪些?

  • 测评报告规范性检查

  • 检查报告编号是否正确唯一

  • 检查报告是否存在缺失章节

  • 敏感信息处理是否规范(账户、口令、IP等敏感信息需要脱敏)

  • 检查是否存在错别字、多余或遗漏字符

  • 检查整体排版及格式规整情况

  • 检查页眉、页脚信息是否正确

  • 检查页码与总页数是否一致、目录是否已更新

  • 测评报告内容检查

  • 检查被测对象名称、网络安全等级、被测单位、委托单位及测评单位的信息是否准确性

  • 检查使用的测评依据是否准确

  • 检查测评过程描述,是否存在错误、与实际工作情况不相符

  • 检查被测对象资产的识别和描述是否准确性

  • 检查各资产重要程度的赋值是否准确性

  • 检查网络拓扑图及网络结构描述的是否清晰合理准确

  • 比对网络拓扑图与软硬件列表,所表述的内容是否一致。

  • 分析测评对象的抽样比例,确保其合理性。

  • 检查测评对象是否全面覆盖不同设备和软件、是否涵盖不同网络环境和区域

  • 比对抽样对象与单元测评的对象是否一致

  • 测评基本指标的选取是否与定级备案级别一致且无缺漏、指标数量是否正确

  • 指标不适用的理由是否充分合理

  • 检查不适用指标数量前后是否一致

  • 检查结果记录是否真实准确、是否存在照抄测评要求或前后矛盾的情况。证据截图是否能正确对应,是否能有效进行溯源佐证

  • 检查密码应用和密钥管理的描述是否存在前后矛盾的情况

  • 检查工具接入点的描述和图示是否准确清晰

  • 检查管理测评记录时,除检查制度文件及相关内容完整性外,还需检查涉及落实情况的相关记录

  • 检查测评结果记录、核对符合程度判定是否准确

  • 检查是否存在与高风险判例里规定的高危漏洞、风险判定不一致的情况。

  • 检查安全问题的风险分析是否准确性;针对安全问题给出相应的整改建议是否合理有效

  • 检查安全问题对应的建议描述是否一致

  • 比对部分符合项、不符合项的数量与安全问题数量,是否能确保一致

  • 检查整体测评,分析分析是否准确、合理

  • 校验综合得分及各章节统计数据的准确性,确保无误

  • 验证总体评价的描述与单元测评内容的一致性。

  • 检查系统的总体评价是否客观公正,无偏见,依据是否充分

3.7.3 批准报告应注意什么?

应注意检验检测报告与原始记录的正确性、合理性、合法性

包含但不限于以下方面:

  • 报告的结论是否准确、客观;
  • 报告的检测项目是否在申请范围内,检测标准是否现行有效;
  • 报告的各级手续是否完整;
  • 偏离是否是允许的;
  • 报告是否能为委托方接受,或是否有充分的证据表明本报告是经得起法律的审查的;
  • 本报告是否与国家法律法规、政策相悖。

3.7.4 检测报告的审核签发流程是如何?

……

3.7.5 出具虚假或者失实检测数据、结果、报告的行为有哪些?

  • 未经检测,直接出具检测数据、结果、报告的;

  • 篡改、编造原始数据、记录,出具检测数据、结果、报告的;

  • 伪造检测报告和原始记录签名,或者非授权签字人签发检测报告的;

  • 漏检关键项目干扰检测过程或者改动关键项目的检测方法,造成检测数据、结果、报告失实的;

  • 其他出具虚假或者失实检测数据、结果、报告的行为。

  • 采用未经确认的方法或工具进行检测,造成检测数据、结果、报告失实的。

3.8 请介绍一下你的学历、专业及相关技术职称情况?

……

3.9 你现在的工作岗位及其职责是什么?从事相关专业工作经历?

……

3.10 你认为目前实验室的管理体系存在哪些难以执行或需要改进的地方?

……

3.11 你实验室有哪些持续改进质量管理体系的举措?

……

文章使用小书匠MarkDown编辑器书写,大家可以通过本站小书匠邀请码一文获取邀请码下载链接

秋风木叶
2024-11-24
有您的赞赏,我会更加有动力!